分布式防火墻日志的入侵檢測方法研究.pdf

1、本文對(duì)分布式防火墻中的日志系統(tǒng)以及基于日志的入侵檢測技術(shù)進(jìn)行了深入研究，提出了綜合應(yīng)用誤用檢測和異常檢測來對(duì)分布式防火墻日志進(jìn)行入侵檢測的方法，同時(shí)采用了數(shù)據(jù)挖掘相關(guān)領(lǐng)域的理論知識(shí)和技術(shù)方法，將數(shù)據(jù)挖掘知識(shí)應(yīng)用于入侵檢測技術(shù)中，對(duì)基于日志的入侵檢測問題進(jìn)行研究，并通過實(shí)驗(yàn)系統(tǒng)來驗(yàn)證該方法的正確性和有效性。實(shí)驗(yàn)數(shù)據(jù)及分析結(jié)果表明，通過將兩種入侵檢測方法相結(jié)合的方式對(duì)入侵行為具有較高檢測率和較低的誤報(bào)率，具有一定的實(shí)際應(yīng)用意義。 傳

2、統(tǒng)的入侵檢測方法或者僅用誤用檢測，或者僅用異常檢測來判斷入侵行為，而這兩種方法均有其固有的缺陷，而且容易出現(xiàn)漏檢(如復(fù)雜入侵)的問題。本文在分析研究誤用檢測和異常檢測兩種檢測方法的優(yōu)、缺點(diǎn)之后，采用結(jié)合這兩種入侵方法對(duì)分布式防火墻日志進(jìn)行入侵檢測分析的方法，并把數(shù)據(jù)挖掘算法應(yīng)用其中。 在組織結(jié)構(gòu)上，本文首先從總體上給出了該分布式防火墻系統(tǒng)的設(shè)計(jì)，討論了分布式防火墻日志系統(tǒng)設(shè)計(jì)目標(biāo)及日志系統(tǒng)的特點(diǎn)。在此基礎(chǔ)之上，給出了基于防火墻日

3、志的入侵檢測方法設(shè)計(jì)。分別從日志，入侵檢測和數(shù)據(jù)挖掘三方面給出了設(shè)計(jì)方案。利用數(shù)據(jù)挖掘進(jìn)行入侵檢測是本文的重點(diǎn)，這一部分首先論證了數(shù)據(jù)挖掘應(yīng)用于入侵檢測系統(tǒng)的可行性和必要性的基礎(chǔ)上，接下來介紹具體算法思想以及流程圖，最后給出了實(shí)驗(yàn)。全文總結(jié)部分中對(duì)作者的工作進(jìn)行了回顧，并對(duì)下一步的工作進(jìn)行了展望。 本文的主要工作一方面在于在分布式防火墻環(huán)境下，提出了一種綜合應(yīng)用誤用檢測和異常檢測來對(duì)日志進(jìn)行入侵檢測的方法:另一方面是將數(shù)據(jù)挖掘技